在Debian上使用Dumpcap分析惡意軟件流量,步驟如下:
安裝Dumpcap:
sudo apt update
sudo apt install wireshark # 安裝Wireshark(含Dumpcap)
驗證安裝:dumpcap --version
。
捕獲流量:
sudo dumpcap -i eth0 -w output.pcap
sudo dumpcap -i eth0 -w output.pcap 'http'
(過濾語法需用單引號包裹)。
分析流量:
.pcap
文件:wireshark output.pcap
ip.addr == 192.168.1.100
或 tcp.port == 80
。http
、dns
、https
等。注意事項:
sudo
)。參考來源: